Buntut dari peretasan Ronin Bridge senilai $650 juta dari Axie Infinity

Pada akhir Maret, Ronin, sidechain Ethereum yang dibuat untuk permainan token nonfungible play-to-earn populer Axie Infinity, diretas untuk lebih dari 173.600 Ether (ETH ) dan Koin 25,5 juta USD (USDC ) untuk sebuahnilai gabungan lebih dari $600 juta . 

Pelanggaran di jembatan Ronin dikonfirmasi oleh Sky Mavis, pengembang di balik game play-to-earn (P2E) yang populer:

Telah terjadi pelanggaran keamanan di Jaringan Ronin.https://t.co/ktAp9w5qpP

— Ronin (@Ronin_Network)29 Maret 2022

Laporan resmi dari perusahaan mencatat bahwa peretas berhasil mendapatkan akses ke kunci pribadi ke node validator yang mengakibatkan kompromi lima node validator, yang juga merupakan ambang batas yang diperlukan untuk menyetujui transaksi. Rantai Ronin saat ini terdiri dari sembilan node validator dan peretas berhasil mendapatkan akses ke empat node bersama dengan validator pihak ketiga yang dijalankan oleh organisasi otonom terdesentralisasi (DAO) Axie DAO.

Akar penyebab eksploitasi dapat ditelusuri kembali ke tahun lalu ketika Axie DAO memberikan akses ke Sky Mavis untuk menandatangani transaksi atas namanya guna mengurangi volume pengguna. Namun, akses ini tidak pernah dicabut, yang akhirnya menyebabkan akses pintu belakang oleh peretas yang mengakibatkan peretasan senilai $600 juta.

Eksploitasi terjadi pada 23 Maret, hanya untuk ditemukan hampir seminggu kemudian setelah peretas di balik serangan itu menggunakan dana yang dicuri untuk menyingkat Axie Infinity (AXS ) dan Ronin (RON). Para peretas berharap untuk menghasilkan lebih banyak uang dari eksploitasi mereka, mengira berita tentang peretasan crypto terbesar pada akhirnya akan menjatuhkan pasar, namun, mereka dilikuidasi sebelum berita tersebut tersiar:

Anda tidak dapat mengada-ada

Peretas mencuri $600 juta dalam ETH dari Ronin blockchain yang mendasari Axie

Peretas kemudian memotong Ronin & AXS (Axie token) mengetahui segera setelah ada berita bahwa token akan anjlok

Tapi TIDAK ADA yang memperhatikan dan mereka dilikuidasi sesaat sebelum ada berita

— Eric Golden (@ericgoldenx)29 Maret 2022

Jembatan Ronin ditutup setelahnya, dengan semua penyetoran dan penarikan dihentikan sampai penyelidikan selesai dan mungkin diperlukan beberapa minggu sebelum jembatan dibuka untuk umum lagi. Para pengembang di belakang permainan sejak itu mencari bantuan dari berbagai pertukaran crypto dan kelompok analitik crypto Chainalysis untuk melacak pergerakan dana dan memulihkannya.

Sky Mavis telah mengesampingkan kerentanan teknis sebagai penyebab utama di balik eksploitasi dan menyalahkan rekayasa sosial. Pengembang juga berjanji untuk mengganti dan memulihkan dana yang dicuri:

“Ini adalah serangan rekayasa sosial yang dikombinasikan dengan kesalahan manusia sejak Desember 2021. Teknologi Sky Mavis solid dan kami akan segera menambahkan beberapa validator baru ke Ronin Network untuk lebih mendesentralisasikan jaringan,”dikatakan Salah satu pendiri dan chief operating officer Axie Infinity Aleksander Leonard Larsen.

Pencucian dan penggantian 

Eksploitasi di jembatan Ronin sangat mirip dengan apa yang terjadi di jembatan Wormhole untuk Solana, di mana para pengeksploitasi berhasil lolos dengan dana kripto senilai $320 juta dari platform lintas-jembatan. Kemudian di bulan Februari, Jump Crypto — sebuah perusahaan modal ventura — menebus pengguna yang dieksploitasi dandiisi ulang 120.000 ETH .

Sky Mavis telah membuat janji serupa setelah mengeksploitasi, mengklaim mereka akan memastikan bahwa pengguna yang terkena dampak diganti bahkan jika dana yang hilang tidak dipulihkan. Pada 6 April, pencipta game populer tersebutmengumpulkan $150 juta dipimpin oleh crypto exchange Binance dan investor lainnya.

Seorang juru bicara Sky Mavis mengatakan kepada Cointelegraph:

“Dari jumlah total yang dicuri, sekitar $400 juta milik pengguna. Babak baru, digabungkan dengan dana neraca Sky Mavis dan Axie, akan memastikan bahwa semua pengguna mendapatkan penggantian. 56.000 ETH yang dikompromikan dari perbendaharaan Axie DAO akan tetap tidak dijamin karena Sky Mavis bekerja sama dengan penegak hukum untuk memulihkan dana tersebut. Jika dana yang dicuri tidak sepenuhnya pulih dalam dua tahun, Axie DAO akan memberikan suara pada langkah selanjutnya untuk perbendaharaan.

Banyak orang di dunia kripto berharap, seperti pengeksploitasi Poly Network, peretas di balik eksploit Jembatan Ronin pada akhirnya akan mengembalikan dana yang dicuri, karena cukup sulit untuk mencuci uang dalam jumlah besar. Namun, belum ada bukti komunikasi semacam itu antara pengembang game dan peretas dan perusahaan menolak mengomentari status komunikasi tersebut.

Elliptic, sebuah perusahaan analitik data crypto, telah melacak $540 juta dari dana yang dicuri dan percaya bahwa para peretas telah mulai mencuci uang tersebut. Pertama, USDC yang dicuri ditukar dengan ETH di bursa terdesentralisasi (DEX) untuk menghindari pembekuan. 

Setelah menukar USDC dengan ETH, peretas mulai mencuci ETH melalui tiga bursa terpusat. 

Dompet milik para peretas Jembatan Ronin juga telah dimulaimengirim dana ke layanan pencampur mata uang seperti Tornado Cash. Perlu dicatat bahwa pengeksploitasi Poly Network melakukan hal yang sama pada awalnya, tetapi akhirnya memutuskan untuk mengembalikan dana karena pencucian dalam jumlah besar menjadi semakin sulit. Menurut laporan PeckShield, para peretasdicuci sekitar $42 juta senilai dana, atau sekitar 7,5% dari total.

“Peretasan adalah bagian yang paling mudah. Bagian tersulit adalah merencanakan cukup jauh sebelumnya untuk memastikan pencairan dana berhasil. Selain itu, semakin besar peretasan, semakin kecil kemungkinan peretas dapat mengambil semua dana tersebut, ”dikatakan Jonah Michaels, pemimpin komunikasi di Immunefi — platform hadiah bug Web3.

Bisakah peretasan ini dihindari?

Meskipun tidak semua blockchain dibuat sama, semuanya dibuat berdasarkan prinsip desentralisasi, yang memastikan bahwa kekuatan dan keamanan tidak terkonsentrasi di tangan satu entitas. Kebutuhan akan desentralisasi disorot oleh peretasan besar-besaran terhadap Ronin ini. Saat merancang sistem untuk publik dengan tujuan mendistribusikan kekuatan dan keamanan, itu harus: didistribusikan. Penggunaan sembilan validator yang empat di antaranya dikendalikan oleh satu pihak terbukti tidak aman.

Sementara pembuat game mengklaim bahwa eksploit tidak terjadi karena kekurangan teknis, fakta bahwa peretas berhasil mengeksploitasi dan mendapatkan entri pintu belakang ke salah satu node validator mereka karena pengembang lupa mencabut akses ke node ketiga. pihak validator tentunya menonjolkan sentralisasi tingkat tertentu dalam proses persetujuan validator. Ini akhirnya menjadi alasan hilangnya aset kripto senilai $600 juta. 

Untuk game seperti Axie Infinity dengan penilaian $4 miliar dan basis pengguna yang berkisar jutaan, pengembang pasti bisa melakukannya lebih baik dengan keamanan lintas-jembatan, terutama ketika platform lintas-jembatan berada di ujung penerima beberapa crypto terbesar. perampokan dalam beberapa tahun terakhir.

Jean-Paul Faraq, kepala komunitas dan kemitraan Unstoppable Games, mengatakan kepada Cointelegraph:

“Axie dan blockchain Ronin mereka jelas memiliki niat baik dan visi besar. Memang, mengingat keadaan penskalaan pada Ethereum ketika Ronin dibangun, Anda mungkin berpendapat itu adalah pilihan yang tepat pada saat itu, tetapi mereka juga memiliki dana untuk mengeksplorasi langkah-langkah yang kuat untuk memastikan blockchain mereka terlindungi dengan lebih baik. Mereka pasti akan membutuhkan waktu lama untuk melihat bagaimana meningkatkan dan kemungkinan keluar dari sisi lain dengan produk yang lebih kuat.

Pengembang game telah berjanji untuk meningkatkan jumlah node validator dari sembilan menjadi 21 di kuartal mendatang. Mereka juga meyakinkan bahwa jika dana yang dicuri tidak dikembalikan dalam waktu dua tahun, Axie DAO akan memilih langkah selanjutnya untuk perbendaharaannya.